Problema 4797

Consulte el informe original en SentinelOne para obtener más información sobre los indicadores de compromiso. * Resumen ejecutivo ----------------- - SentinelLabs ha identificado un nuevo grupo de amenazas cibernéticas, NullBulge, que ataca a entidades centradas en la IA y los juegos. - En julio de 2024, el grupo publicó datos supuestamente robados de las comunicaciones internas de Slack de Disney. - NullBulge ataca la cadena de suministro de software mediante la utilización de código en repositorios disponibles públicamente en GitHub y Hugging Face, lo que lleva a las víctimas a importar bibliotecas maliciosas o mediante paquetes de modificaciones utilizados por el software de juegos y modelado. - El grupo utiliza herramientas como Async RAT y Xworm antes de entregar cargas útiles de LockBit creadas con el generador filtrado Lockbit Black. - NullBulge demuestra un cambio en el ecosistema del ransomware donde los actores adoptan causas hacktivistas para obtener ganancias económicas. Descripción general -------- Entre abril y junio de 2024, el grupo NullBulge surgió apuntando a los usuarios de las comunidades de aplicaciones y juegos centrados en la IA. El personaje de NullBulge ha mostrado métodos creativos para distribuir malware dirigido a dichas herramientas y plataformas. Aunque el grupo proyecta una imagen de activismo afirmando estar "protegiendo a los artistas de todo el mundo" y afirma estar motivado por una causa pro-arte, anti-IA, en lugar de ganancias, otras actividades vinculadas a este actor de amenazas pueden indicar lo contrario. Logotipo de NullBulge (julio de 2024) Los servicios de NullBulge a través del DLS del grupo Un servicio que ofrece el grupo se describe como "venganza a través de honeypots y mods maliciosos". El grupo está cumpliendo con esta afirmación al apuntar a extensiones y modificaciones de aplicaciones y juegos adyacentes al arte de IA de uso común. Esta ha sido su principal área de enfoque recientemente, entregando una pequeña variedad de cargas útiles de malware. Los ataques de NullBulge se caracterizan por "envenenar el pozo": el grupo apunta a la cadena de suministro de software inyectando código malicioso en mecanismos legítimos de distribución de software, explotando plataformas confiables como GitHub, Reddit y Hugging Face para maximizar su alcance. NullBulge anuncia sus filtraciones a través de su propio sitio DLS/blog, junto con hilos ocasionales de 4chan. Además, el grupo está utilizando compilaciones de ransomware LockBit personalizadas para maximizar el impacto de sus ataques. En esta publicación, brindamos una descripción general de las actividades maliciosas del grupo NullBulge y detalles técnicos de sus cargas útiles LockBit. Distribución de código en Discord, Reddit y GitHub --------------------------------------------- El grupo NullBulge llevó a cabo una serie de campañas maliciosas dirigidas a la cadena de suministro de herramientas y plataformas de IA durante mayo y junio de 2024. Esto incluye la vulneración de la extensión ComfyUI_LLMVISION en GitHub. Además, el actor de amenazas distribuyó código malicioso a través de mods de BeamNG en Hugging Face y Reddit. Las campañas centradas en GitHub (ComfyUI_LLMVISION) y las campañas centradas en Hugging Face se caracterizan por cargas útiles basadas en Python que exfiltran datos a través del webhook de Discord. Las otras campañas del grupo dieron como resultado la distribución de más malware, incluidos Async RAT y Xworm. Repositorio de GitHub para bibliotecas maliciosas Estas campañas dieron como resultado scripts maliciosos de Python que recopilan y transmiten datos a través del webhook de Discord. El actor de amenazas modificó el archivo 'requirements.txt' incluido para incluir ruedas de Python personalizadas para integrar versiones maliciosas precompiladas de bibliotecas de Anthropic y OpenAI. Por ejemplo, las ruedas maliciosas hicieron referencia a una versión falsa de la biblioteca OpenAI (1.16.3). Estas bibliotecas troyanizadas contienen código Python (p. ej., Fadmino.py), que recopila y registra datos del navegador Chrome y Firefox a través de Network Security Services (NSS). Se utilizan scripts adicionales, incluido, por ejemplo, admin.py, para interpretar y transmitir los datos a través de la URL del webhook de Discord. admin.py con URL de Discord cifrada En estas campañas, admin.py y Fadmino.py trabajaron en conjunto para recopilar datos locales confidenciales del sistema, organizar y preparar los datos y, finalmente, transmitir los datos recopilados a un servidor externo a través de solicitudes HTTP POST a la URL del webhook de Discord. Scripts de recopilación de datos extendidos cadmino.py El flujo general en estos scripts es: 1. Descubrimiento/extracción de datos: admin.py y Fadmino.py recopilan datos de inicio de sesión del navegador (nombres de usuario y contraseñas de Chrome y Firefox). 2. Agregación de datos: admin.py y Cadmino.py recopilan, analizan y extraen los datos. Cadmino.py extiende el descubrimiento de datos para incluir información geográfica e información ampliada del sistema junto con las aplicaciones instaladas. Esto incluye datos pertenecientes a productos de seguridad y datos financieros. 3. Transmisión de datos: admin.py construye las URL de transmisión a partir de un webhook de Discord cifrado y realiza la exfiltración real. URL descifrada de Discord de admin.py El grupo NullBulge también ha distribuido código malicioso a través de Hugging Face. Estos incluyen las herramientas creadas con fines maliciosos "SillyTavern Character Generator" e "Image Description with Claude Models and GPT-4 Vision". Estas herramientas contienen dependencias maliciosas en un enfoque similar al observado con el compromiso del repositorio ComfyUI_LLMVISION. Las cargas útiles maliciosas entregadas en estas campañas funcionan de manera idéntica a las observadas en el repositorio ComfyUI_LLMVISION, que utiliza ruedas maliciosas. Distribución a través de HuggingFace La identidad de AppleBotzz ----------------------- En los ataques centrados en los repositorios de GitHub y Hugging Face, la identidad de AppleBotzz se usa para alojar el código en ambos repositorios comprometidos además de las publicaciones en ModLand. Algunas discusiones se centraron en la posibilidad de que AppleBotzz y el actor de amenazas NullBulge sean uno y el mismo. NullBulge ha afirmado controlar el repositorio de GitHub ComfyUI_LLMVISION mientras esté activo. Nunca se publicó ningún código no malicioso en ese repositorio, lo que generó escepticismo sobre si AppleBotzz y NullBulge son entidades verdaderamente separadas. NullBulge hizo una declaración en su blog indicando que son entidades separadas y que el mantenedor original del repositorio de GitHub ComfyUI_LLMVISION fue comprometido previamente por el grupo. Las credenciales del mantenedor original se vieron comprometidas como resultado, lo que permitió al actor de amenazas NullBulge publicar el código malicioso en el repositorio de GitHub. Declaración de NullBulge sobre la identidad de AppleBotzz El actor de amenazas publicó una declaración similar en el GitHub ComfyUI_LLMVISION original: Declaración archivada en ComfyUI_LLMVISION GitHub La identidad de AppleBotzz también se usó en ModLand y plataformas similares utilizadas para difundir mods maliciosos de BeamNG. Los actores de amenazas afirman que pudieron apoderarse de todas las cuentas previamente controladas por AppleBotzz en plataformas como Hugging Face, GitHub, ModHub y ModLand. Un escenario más probable es que NullBulge controle la identidad de AppleBotzz, que es fundamental para su proceso de preparación y entrega de malware. Sin embargo, no hay pruebas suficientes para confirmar esta hipótesis en este momento. Entrega de malware | Async RAT y Xworm -------------------------------------- NullBulge ha apuntado a los usuarios de BeamNG, un juego de simulación de vehículos que utiliza física de cuerpo blando para modelar de manera realista la dinámica, las colisiones y las deformaciones de los vehículos en un entorno sandbox de mundo abierto. El 4 de junio de 2024, se publicó un hilo en el foro de comunidades BeamNG titulado "Los mods de BeamNG ya no son seguros", que destaca una preocupación emergente sobre mods específicos para BeamNG. Este compromiso fue detallado en un video de YouTube de Eric Parker. El ataque se describe como originado por un código LUA malicioso distribuido en un archivo mod de BeamNG. PowerShell ofuscado se inyectó en los archivos mod que posteriormente descargaron Async RAT o Xworm, lo que a su vez condujo a la implementación de sus cargas útiles LockBit personalizadas. La distribución inicial de los mods troyanizados se produce a través de enlaces codificados en base64 en perfiles de redes sociales configurados por el actor de la amenaza. Los mods maliciosos también se distribuyeron a través de ModLand y comunidades similares relacionadas con BeamNG. Publicación maliciosa de ModLand, identidad de AppleBotzz Enlace codificado en Base64 para distribución de mods maliciosos de BeamNG Estos enlaces codificados decodifican enlaces maliciosos alojados en una variedad de servicios, incluidos modsfire y pixeldrain. Los ejemplos son los siguientes: https[:]//modsfire[.]com/IzozIsm52J72cWM https[:]//modsfire[.]com/1Nhyzs0OpLDu204 https[:]//modsfire[.]com/IzpzklsmT2jz7W1 http[:]//pixeldrain[.]com/api/file/HnEcyLBm https[:]//pixeldrain[.]com/api/file/SoRcBJnZ Estos enlaces ahora inactivos llevaron a cargas útiles de Async RAT. Los mods maliciosos de BeamNG se distribuyeron a través de archivos torrent o zip en foros y subreddits centrados en BeamNG. Los mods creados con fines malintencionados contienen código Lua que se ejecuta tras la ingesta del archivo del mod por BeamNG. El código Lua malicioso se coloca en las diversas 'extensiones' Lua empaquetadas en el mod BeamNG (ejemplo: VersionCheck.lua: 5c61e08914d4108aa52401412a61ddbbb68ca7cc) PowerShell ofuscado en el mod BeamNG malicioso Los archivos Lua contienen PowerShell codificado en base64 que, cuando se decodifica, descarga y ejecuta la muestra Async RAT (a través de Invoke-WebRequest). La cadena específica en la imagen anterior se decodifica a la solicitud de descarga a continuación. En este caso, la instancia de Async RAT se descarga desde una dirección pixeldrain[.]com y se ejecuta bajo el nombre de proceso BeamNG.UI.exe. Cargas útiles de LockBit personalizadas ----------------------- NullBulge está entregando cargas útiles de ransomware LockBit a sus víctimas Async y Xworm como una infección de etapa posterior. Esta parte del ataque también se analiza en el video antes mencionado de Eric Parker. Las cargas útiles de NullBulge se crean utilizando el generador LockBit 3.0 (también conocido como LockBit Black) además de un archivo de configuración personalizado (config.json). SHA1: bca6d4ab71100b0ab353b83e9eb6274bb018644e Nombre: LockBit3Builder.zip Junto con config.json, NullBulge se crea con builder.exe, keygen.exe y build.bat, un archivo por lotes para compilaciones automatizadas de ejecutables de cifrado y descifrado emparejados. Build.bat (804a1d0c4a280b18e778e4b97f85562fa6d5a4e6) también se mantiene sin cambios con respecto a los paquetes filtrados estándar del generador LockBit 3.0/LockBit Black. build.bat sin modificar del archivo del generador NullBulge El archivo config.json (705d068fb2394be5ea3cb8ba95852f4a764653a9)* contiene configuraciones para el UID de la carga útil junto con todos los componentes de comportamiento que se controlarán al compilar las cargas útiles. Esto incluye las siguientes opciones de configuración: "encrypt_mode": "auto", "encrypt_filename": falso, "impersonation": verdadero, "skip_hidden_folders": falso, "language_check": falso, "local_disks": verdadero, "network_shares": verdadero, "kill_processes": verdadero, "kill_services": verdadero, "running_one": verdadero, "print_note": verdadero, "set_wallpaper": verdadero, "set_icons": verdadero, "send_report": falso, "self_destruct": verdadero, "kill_defender": verdadero, "wipe_freespace": falso, "psexec_netspread": falso, "gpo_netspread": verdadero, "gpo_ps_update": verdadero, "shutdown_system": falso, "delete_eventlogs": verdadero, "delete_gpo_delay": 1 En la configuración proporcionada, el cifrado se establece en "automático" en lugar del modo "rápido". La opción para cifrar recursos compartidos de red está habilitada, junto con el cifrado estándar de volúmenes locales. El malware también está configurado para autoeliminarse después de la ejecución y para enviar notas de rescate a las impresoras conectadas. La configuración también describe qué archivos y carpetas se incluyen o excluyen del cifrado, junto con qué procesos finalizar. El contenido de la nota de rescate se define en el archivo config.json. NullBulge config.json La construcción de la nota de rescate también se maneja a través del archivo config.json, que se personaliza con las modificaciones de identificación de NullBulge. Configuración de la nota de rescate de NullBulge Sitios de fuga de datos y ataques recientes ------------------------------------ NullBulge tiene varios sitios de fuga activos. Sus sitios iniciales .com y .onion se pusieron en marcha a finales de mayo de 2024. A julio de 2024, los dominios .se y .co están activos y se actualizan de forma continua. Sus dominios incluyen: group.goocasino[.]org nullbulge[.]com nullbulge[.]se nullbulge[.]co nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid[.]onion Al momento de escribir este artículo, el DLS de NullBulge ha enumerado varias víctimas. La mayor parte del sitio está dedicada a documentar su causa junto con las reglas de participación estándar. A finales de junio de 2024, el grupo NullBulge anunció una filtración de información de Disney, que supuestamente incluía certificados de publicación .web y sprites de la serie animada DuckTales. Lanzamientos de Disney de NullBulge Lanzamientos de Disney de NullBulge Las filtraciones de Disney se actualizaron más tarde con una publicación "El lanzamiento está cerca". Esta publicación actualizada contenía un enlace codificado en base64 a un archivo de ~670 MB, DuckTales_Isolated.zip alojado en pixeldrain[.]com. Datos filtrados de Disney en pixeldrain Este archivo contiene varios archivos de PhotoShop Document (PSD) relacionados con la serie DuckTales. Estas filtraciones también se publicaron en 4chan bajo la identidad !! z694g7GKz7l. Las publicaciones contienen cadenas codificadas en base64, que se vinculan a los datos filtrados. NullBulge anuncia filtraciones de Disney en 4chan El 12 de julio, el grupo NullBulge publicó un archivo de ~1,2 TB que supuestamente contiene varios años de datos internos de Slack de Disney. La publicación de estos datos fue precedida por publicaciones de cuenta regresiva en los perfiles en línea del actor de amenazas. NullBulge afirma que obtuvo los datos utilizando credenciales de cuentas corporativas comprometidas. Temporizador de cuenta regresiva, 11 de julio de 2024 Perfiles y otras actividades ----------------------------- Además de las publicaciones de 4chan bajo !! z694g7GKz7l, NullBulge mantiene perfiles activos en múltiples foros clandestinos comunes. Tienen un historial de venta de registros de infostealer de su ladrón personalizado en el foro CRACKED[.]io. NullBulge vende registros de infostealer en el foro cracked[.]io El actor también tiene un historial de venta de claves API de OpenAI robadas en estos foros. Esto demuestra que la actividad maliciosa de NullBulge no se limita a aquellos que protegen los derechos de los artistas. Sus actividades están enfocadas financieramente y es capaz de desarrollar o adquirir cualquier herramienta necesaria para promover esta causa. El actor detrás de NullBulge también mantiene un repositorio de GitHub bajo el nombre NullBulgeOfficial, que contiene sus bibliotecas de webhook de Discord, junto con su biblioteca Python personalizada para interactuar con la API de AvCheck. Además, NullBulge tiene un perfil mysellix[.]io, que se ha utilizado para vender claves de API de OpenAI. Ventas de claves de API de OpenAI de NullBulge Conclusión ---------- NullBulge es un actor de baja sofisticación, que apunta a un grupo emergente de víctimas con malware y ransomware de productos básicos. El ataque invasivo del grupo a juegos y aplicaciones centrados en la IA plantea una amenaza para quienes trabajan con dichas tecnologías y destaca un área intrigante en la que se centran los actores de amenazas. Sus métodos de preparación y distribución de código malicioso (como código ofuscado en repositorios públicos) no son nuevos, pero el grupo demográfico al que se dirige es un sector emergente que cada vez está más en la mira. Grupos como NullBulge representan la amenaza constante del ransomware de baja barrera de entrada, combinado con el efecto perenne de las infecciones de robo de información. NullBulge y actores de amenazas similares utilizan familias de malware bien experimentadas como Xworm y Async RAT. Estas herramientas generan registros de robo de información que pueden impulsar ataques más grandes y elaborados, como se demostró en el reciente ataque contra Snowflake. Además, la superficie de ataque para plataformas como BeamNG es propicia para la explotación. En el escenario de BeamNG, los atacantes ejecutan código privilegiado a través de PowerShell mediante scripts Lua "confiables" al instalar los mods del juego. Este es un mecanismo muy atractivo para actores maliciosos, y no muy diferente a los ataques a la cadena de suministro de software que entregan cargas útiles a través de paquetes NPM, que hemos discutido anteriormente. Para reducir la exposición de su organización a las técnicas utilizadas por NullBulge, considere las siguientes medidas de seguridad: 1. Administración de claves API: almacene las claves API de forma segura y evite codificarlas en su código. Use variables de entorno o bóvedas seguras para administrar información confidencial. Rote regularmente las claves API para minimizar el impacto potencial de una vulneración. 2. Revisión y verificación del código: Examine periódicamente los elementos de código de terceros para detectar cualquier contenido ofuscado o sospechoso. Preste especial atención a las dependencias en archivos de soporte como requirements.txt y equivalentes. Asegúrese de que el código de terceros se ingiera de una fuente confiable y verificada. Revise periódicamente los historiales de confirmaciones y comprenda claramente quiénes son los contribuyentes activos, para poder detectar confirmaciones o consultas "sospechosas". Tenga cuidado al instalar código de fuentes públicas que estén sujetas a un escrutinio bajo o nulo.